Auf Webkonfiguration über WAN zugreifen



  • Hallo zusammen,

    ich habe PFSense schon seit einiger Zeit am Laufen jedoch vermisse ich eine Kleinigkeit.
    Normalerweise muss man auf die Webkonfiguration über LAN zugreifen.
    Dann klappt das Ganze auch ohne Probleme.
    Wenn ich jedoch versuche über das WAN auf die Web-Konfiguration zuzugreifen komme ich nicht weit.
    Das ist auch klar, weil normalerweise das WAN eine "unsichere" Zone ist wo solche Dinge gesperrt sein sollten.

    In meinem Fall ist das LAN das Netzwerk einer Ferienwohnung.
    Und das WAN ist mein privates Netzwerk welches auch über den Internetzugang verfügt.
    Wenn ich nun aber z.B. neue Benutzer im Radius anlegen möchte so muss ich immer in die Ferienwohnung um mich dort über WLAN zu verbinden.

    Natürlich wäre es praktischer wenn ich dies direkt vom Büro (also vom WAN) aus machen könnte.

    Gibt es da eine Möglichkeit den Zugriff auf den WAN-Port auf den LAN-Port umzuleiten.
    Das müsste eigentlich mit NAT funktionieren aber irgendwie kriege ich das nicht auf die Reihe.

    Hat da evtl. jemand ein paar Tipps?

    Gruss
    Michael

    Gruss
    Michael



  • machn NAT- eintrag:

    wan port xx    ip(ip der pfs ausm lan) port xx

    also z.b.  172.0.0.1:443 192.168.1.1:443
    das rule wird automatisch gesetzt.

    sollte so funzen



  • Den Port vom externen Interface auf das interne Interface zu NATen ist eine ziemlich unsaubere Lösung.

    Um auf das Webinterface vom WAN her zugreifen zu können brauchst du lediglich eine Firewallrule auf dem WAN-tab.
    Ich habe mein Webinterface als https auf dem Port 444.
    Im Anhang ein Screenshot von der Rule mit der ich den Zugriff von aussen her zulasse.




  • Hallo,

    vielen Dank für eure Antworten.
    Aber bei mir funktionieren beide Lösungsvorschläge nicht.
    Ich habe schon im Firewall Log nachgeschaut und da wird nichts geloggt (d.h. die Firewall blockt nichts).
    Aber wenn ich versuche mich zu verbinden (https://WAN-IP-Adresse:444) dann funktioniert es nicht => aber der Firewall log zeigt nur massenweise UDP - Anfragen an die geblockt wurden (Netbios).

    Ich habe das Webinterface jetzt auch auf HTTPS Port 444 gesetzt und die Firewall Regel hinzugefügt.
    Das NATen habe ich auch versucht. Dabei gab es aber das selbe Problem.

    Ich habe auch versucht bei der Firewall Regel das Loggen immer zu aktivieren (d.h. auch Pakete die nicht geblockt werden werden geloggt).
    Aber auch dann wird nix angezeigt.

    Kennt ihr evtl. die Lösung des Problems, oder den Grund für mein Problem?

    Gruss
    Michael



  • Hast du ein DSL Modem mit einem integrierten Router vor deiner pfSense?
    Wenn ja musst du dort die Ports natürlich auch auf die pfSense forwarden.



  • Nö,
    ich habe nichts vor dem Router.
    Habe mich über einen Switch an den WAN-Port gehängt.
    D.h. so

    Internet => Router => Switch => PfSense => Ferienwohnung
                                            => Laptop

    Dabei dürfte der Router keine Rolle spielen.

    Gruss
    Michael



  • Also hast du ein privates subnet auf dem WAN der pfSense?
    Hast du das Häckchen "block RFC1819 subnets" auf der WAN-config-page deaktiviert?



  • Hallo und nochmals danke für deine Hilfe,

    ja ich habe ein privates Subnetz am WAN-Port (192.168.1.3)
    Und am Lanport habe ich ein anderes Subnetz (192.168.2.3)

    Also habe ich mich mit dem Laptop auch in das 1-er netzwerk gehängt. Dabei kann ich aber nicht auf die 192.168.1.3 zugreifen. Pingen kann ich die auch nicht.
    Wenn ich mich hingegen im .2er Netz (also am Lanport) ranhänge so kann ich problemlos auf die Webkonfiguration zugreifen und ich komme dann auch über PfSense in das Internet.

    Das "block RFC1819 subnets" häckchen habe ich auch schon entfernt.

    Ich versuche mich am Wan-Port mit https://192.168.1.3:444 zu verbinden.
    Dann bekomme ich die Meldung dass die Seite nicht gefunden wird.

    Woran kann es da noch liegen dass es nicht funktioniert?
    Ich habe jetzt die Vermutung dass es nicht funktioniert weil ich 2 verschiedene Subnetze habe. Evtl. müsste ich da etwas durchrouten?

    Gruss
    Michael



  • Der Port 444 ist nur mein eigenes ding.
    Ich würd den zum Debuggen auf 443 standardmässig lassen.

    Mir ist es extrem selten schon passiert das beim ändern des Ports der Webserver etwas komisches gemach hat und danach nicht mehr richtig funktioniert hat.
    Ein neustart der pf hat dem aber Abhilfe leisten können.

    Bist du ganz sicher das die meldung "die seite wurde nicht gefunden" kam?
    Weil beim firefox sehen die Meldungen dass die seite nicht gefunden wurde und die meldung dass das zertifikat der seite nicht auf der akzeptierten liste stehe sehr sehr ähnlich aus.



  • HI,

    ja es war sicher die Meldung dass die Seite nicht gefunden wurde.
    Dass die Seiten sehr ähnlich aussehen war mir schon bewusst, deshalb habe ich darauf geachtet. Und da steht wirklich => Die Seite wurde nicht gefunden
    Komisch ist, dass auch ein Ping auf den WAN-Port nicht funktioniert. Aber die Firewall zeigt im LOG trotzdem nichts an, dass sie etwas anderes als port 138 (WINS).

    Ich habe das Ganze zuvor auch schon mit Port 443 versucht, aber dabei hatte ich das selbe Problem.

    Ich habe das Ganze in einer Virtual Machine laufen, aber das dürfte eigentlich keine Rolle spielen.

    Gruss
    Michael



  • Das ändert alles !
    Bridgest du das WAN zu einem interface oder NATest du es?
    Da du überhaupt gar nichts an das WAN schicken kannst tippe ich mal auf das zweite.
    Hast du noch eine firewall im host-system am laufen?



  • Hi,

    vielen Dank für deine Antwort.
    Ich habe heute mal den ganzen Rechner neu gestartet (auch das Windows in dem die VM läuft).
    Nun kann ich plötzlich über den WAN-Port ganz normal zugreifen.
    Ein Problem an der Konfiguration der VM war es nicht, denn ich habe da ja nichts geändert.
    Somit ist das Problem gelöst und ich kann über den WAN-Port zugreifen :)

    Vielen Dank

    Gruss
    Michael


Locked